你的网路安全吗?专家不私藏解决方案(下回)

供稿:中波动光工业通信(江苏)有限公司

  • 关键词:网路安全,IEC62443-4-2,物联网
  • 作者:中波动光
  • 摘要:影响网络安全的威胁何其繁多,全面且有效的解决方案更为重要。 中波动光​提供软硬件集成保护机制,采最新专用集成电路安全技术,并高于IEC62443-4-2 2级要求,为工业应用构建最安全的系统。

从上回的解说中,我们可以了解到网路安全解决方案的基本架构及应用。

这回,让我们继续了解更多的细节吧!



第三/四级安全防护   DHCP监听


监听就像是未受信的主机和已受信的DHCP服务器之间的防火墙。它执行以下活动:

• 验证从未受信的来源接收到的DHCP消息,并过滤出无效的消息

• 限制已受信和未受信来源的DHCP流量速度

• 构建和维护DHCP监听绑定数据库,包含了未受信主机的租用IP地址信息

• 使用DHCP监听绑定数据库,以验证来自未受信主机的后续请求


DHCP监听是基于VLAN启用的。默认情况下,该功能在所有VLAN中处于非激活状态。您可以在单个VLAN或一定范围的VLAN上启用该功能。



动态ARP检测(DAI)


DAI 验证网络中的 ARP 数据包。 DAI 拦截、记录并丢弃无效的 IP-to-MAC 地址绑定的 ARP 数据包,此功能可以保护网络免受中间人攻击。


DAI 确保只有有效的 ARP 请求和回应会被转发。交换机执行以下这些行为:

• 截取所有未受信的端口上的 ARP 请求和回应

• 确认在刷新本地 ARP 缓存之前,以及在将数据包转发到适当的目的地之前,每个拦截的数据包都具有有效的 IP-to-MAC 地址绑定

• 丢弃无效的 ARP 数据包


DAI 根据储存在受信数据库 (DHCP 监听绑定数据库) 中的有效 IP-to-MAC 地址绑定,来确定 ARP 数据包的有效性。

如果在 VLAN 和交换机上启用 DHCP 监听,则此数据库将由 DHCP 监听来构建。

如果在受信接口上收到 ARP 报文,则交换机不做任何检查;然而,在不信任的接口上,交换机只有在该 APP 报文有效的情况下才会转发。



IP来源保护


IP 来保护源在二层端口上提供 IP 来源地址过滤功能,以防止恶意主机假冒合法主机的 IP 地址来冒充合法主机。

该功能使用动态 DHCP 侦听和静态IP来源绑定,以确认 IP 地址与在未受信的二层接入端口上的主机是匹配的。


一开始,除了DHCP 数据包,受保护端口上的所有IP 通信将会被阻断,当用户端从DHCP 服务器收到IP 地址后,或者管理员配置静态IP 来源绑定后,所有具有IP 来源地址的用户的通信才会被允许通行,至于来自其他主机的流量将会被拒绝。

此过滤机制限制了主机攻击邻近网络IP地址的能力



IPv4/IPv6访问控制列表


数据包过滤限制了网络流量,并局限了某些用户或设备的网络使用。 ACL 对通过交换机的流量进行过滤,并允许或拒绝通过指定接口的数据包 ACL 为数据包的允许与拒绝条件的有序集合。

当接口接收到数据包时,交换机会将数据包内容与所有已设定的ACL 进行比较,并根据访问列表中指定的条件,验证该数据包是否具有转发的所需权限。

中波动光支持二层至七层 ACL,最多可解析 128 bytes 长度的数据包和二层至七层数据包分类与过滤 IPv4 / IPv6 流量,包含TCP、UDP、IGMP、ICMP。



关于中波动光 :
中波动光集团是跨国的公司,有20多年工业市场销售的经验。从工业计算机,数据撷取,有线与无线网络通讯,与网络监控,均有非常完整的解决方案。客户遍及各垂直产业,包含电厂,智能交控,医疗,铁道,公共工程与工厂自动化。

电邮 : sales@womtek.cn

网站 : www.womaster.hk


发布时间:2018年3月5日 16:59  人气:   审核编辑(何为)
相关链接

我有需求